Erweiterte Risikobewertung

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Verwenden Sie ServiceNow® Governance, Risk und Compliance(GRC) Funktion „Erweiterte Risikobewertung“ zum Erstellen einer integrierten Risikoplattform. Diese integrierte Plattform unterstützt verschiedene Arten von Risikobewertungsmethoden. Damit können Sie die Risikobewertung als Teil Ihres allgemeinen Entscheidungsprozesses integrieren.

    Die erweiterte Risikobewertung bietet die folgenden Vorteile:
    • Digitalisiert den gesamten Risikomanagement-Lebenszyklus, einschließlich Risikoidentifizierung, Risikoanalyse, Risikobewertung, Risikobehandlung, und Überwachung.
    • Passt den Risikobewertungsprozess basierend auf den individuellen Anforderungen Ihrer Organisation an. Diese Anpassung umfasst die Konfiguration der Bewertungskriterien, des Kontexts und der allgemeinen Risikobewertungslogik.
    • Unterstützt sowohl qualitative als auch quantitative Risikobewertungsmethoden.
    • Aggregiert automatisch die Bottom-up-Risikobewertungspunktzahlen für das Risiko.
    • Bettet den Risikobewertungsprozess in den Arbeitsbereich für Erstlinienanwender ein. Diese Einbettung hilft Anwendern, fundierte Entscheidungen basierend auf Risiken zu treffen, die Aktionen zugeordnet sind.
    Hinweis:
    Um zu erfahren, ob Ihre aktuelle Lizenz Sie zu erweiterten Risikobewertungen berechtigt, wenden Sie sich an ServiceNow.

    Schritte der Risikobewertung

    Bevor Sie die erweiterte Risikobewertung im Detail verstehen, müssen Sie die wichtigsten Schritte des Risikomanagements verstehen:
    1. Risikoidentifizierung: Finden Sie eine Unsicherheit oder ein Risiko, die Ihre Organisation daran hindern könnte, ihre Ziele​zu erreichen.
    2. Risikoanalyse: Verstehen Sie die Ursache und Konsequenz des Risikos.
    3. Risikobewertung: Um zu bestimmen, ob zusätzliche Aktionen erforderlich sind, vergleichen Sie die Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien.
    4. Risikobehandlung: Definieren Sie einen Aktionsplan​, um das Risiko zu beheben.
    5. Risikoüberwachung: Verfolgen Sie die Risikolage der Organisation nach, und teilen Sie sie den relevanten Stakeholdern mit.
    Abbildung : 1. Schritte des Risikomanagements
    Schritte des Risikomanagements.
    Die Risikobewertung besteht aus Risikoidentifizierung, Risikoanalyse und Risikobewertung. Die erweiterte Risikobewertung wird basierend auf Faktoren oder Fragen und ihren Antworten durchgeführt. Sie kann für eine Entität wie eine Organisation durchgeführt werden. Um die erweiterte Risikobewertung zu verwenden, müssen Sie aktivieren Migrieren Sie zu erweiterten Risikobewertungen Eigenschaft unter dem Verwaltungsmodul. Der Beurteiler und der Genehmiger für die Risikobewertung müssen über die Rolle „sn_grc.Business_user“ verfügen. Mit der erweiterten Risikobewertung können Sie eine detaillierte Bewertung der Risiken durchführen, bei denen die inhärenten Risiken, mindernden Kontrollen und Restrisiken bewertet werden. Wenn Sie nicht über die vollständige verfügen GRC Richten Sie für Entitäten, Risikobeschreibungen, Steuerungen usw. ein, dann können Sie die Risiken für jedes bewerten ServiceNow Datensatz oder Objekt. Ein Beispiel für eine Objektbewertung ist die Bewertung des Change-Managements. Während der Risikobewertung werden die folgenden Risiken bewertet.
    • Inhärente Risiken: Inhärente Risiken sind Risiken, die keine Steuerungen haben. Beispielsweise ist das Fahren mit hoher Geschwindigkeit auf einer Autobahn von Natur aus gefährlicher als das Fahren mit mäßiger Geschwindigkeit. Die Punktzahl dieses inhärenten Risikos wird abgeleitet, indem die Auswirkung des Risikos und die Wahrscheinlichkeit des Risikos multipliziert werden.
    • Kontrolleffektivität: Kontrollen können die Auswirkung oder Wahrscheinlichkeit eines Risikos mindern. Beispielsweise verfügen Autobahnen über Geschwindigkeitsbegrenzungsüberwachungen. Wenn ein Risiko eintritt, mindern die Steuerungen die Auswirkung. Kontrollen können vorbeugend, erkennend oder korrigierend sein.
      • Vorbeugende Kontrollen sollen Fehler, Ungenauigkeiten oder Betrug verhindern, bevor diese Probleme auftreten.
      • Erkennungskontrollen sollen das Vorhandensein von Fehlern, Ungenauigkeiten oder Betrug erkennen.
      • Korrekturkontrollen dienen der Behebung von Fehlern oder Unregelmäßigkeiten, die erkannt wurden.
    • Restrisiken: Restrisiken sind die verbleibenden Risiken, die nach der Implementierung von Kontrollen verbleiben. Wenn beispielsweise trotz der geltenden Sicherheitsmaßnahmen immer noch ein Unfall auftritt, ist der durch den Unfall verursachte Schaden ein Restrisiko. Eine Restrisikopunktzahl kann mit einer der folgenden Methoden berechnet werden:
      • Eine Matrix zwischen inhärenter und Resteffektivität.
      • Eine mathematische Formel wie die inhärente Punktzahl minus der Kontrollpunktzahl.
      • Antworten auf Faktoren.
    • Zielrisiken: Zielrisiken sind das gewünschte Risiko, das eine Organisation in der Zukunft erreichen möchte. Durch die Bewertung der gewünschten Wahrscheinlichkeit und Auswirkung identifizierter Risiken können Organisationen Zielrisikostufen für jedes Risiko festlegen. Bei der Bewertung eines Risikos berücksichtigen Sie beispielsweise verschiedene Aspekte wie inhärentes Risiko, Effektivität von Kontrollen und Restrisiken. Es ist jedoch ebenso wichtig, das gewünschte Risikostufe zu erfassen, das erreicht wird, nachdem Ihre Risikoantwort implementiert wurde. Das Zielrisiko stellt das optimale Risiko dar, das Sie erreichen möchten, nachdem Ihr Aktionsplan erfolgreich ausgeführt wurde. Damit können Sie die Vorteile Ihrer Organisation im Verhältnis zu den Kosten der Implementierung dieser Aktionen messen.